Estamos vendo um comportamento muito estranho em nosso Cisco ASA 5505 em execução9.1(2)
Temos um PABX SIP dentro da nossa rede. Ele tem uma configuração um pouco estranha, ele escuta solicitações SIP de entrada para nosso tronco em UDP/60052.
Portanto, em nosso ASA, tenho um encaminhamento de porta de UDP/5060para UDP/65002em nossa interface externa. 90% desse tempo, isso funciona muito bem.
No entanto, nos 10% restantes do tempo, e até agora parece ser aleatório, o ASA decide não fazer nada com o UDP/5060tráfego de entrada. Uma captura de pacotes no ASA mostra o INVITEpedido SIP que atinge a outsideinterface, mas nunca alcança a interface de saída.
Não estamos usando nenhuma inspeção SIP, pois o servidor interno usa STUNpara remapear seus cabeçalhos SIP.
Regra NAT:
nat (outside,any) source static obj_any obj_any destination static interface Swyx service Swyx-5060-Service-UDP Swyx-SIP-65002-UDP no-proxy-arp description BC Swyx 5060 > 65002
ACL:
object-group service DM_INLINE_SERVICE_3
service-object object Swyx-RTP-55000
service-object object Swyx-SIP-65002-UDP
service-object object RTP
access-list outside_access_in_1 extended permit object-group DM_INLINE_SERVICE_3 any object Swyx log critical
O que eu perdi? Há algum bug conhecido nesta versão do ASA?
Você pode validar o uso da CPU e da memória do asa quando isso acontecer? É fácil fazer uma queda de pacotes asa em alta carga com grande link WAN
Portanto, não é totalmente útil aqui, mas substituímos o ASA por um roteador Mikrotik e esse problema desapareceu.
É claramente algum tipo de bug ou problema com o Cisco ASA, mas basicamente cansei desses pequenos ASAs e comecei a substituí-los.